22Aug
Tāpat kā lielākā daļa lietu Linux, sudo komanda ir ļoti konfigurējama. Jums var būt sudo palaist īpašas komandas, neprasot paroli, ierobežot konkrētus lietotājus tikai apstiprinātām komandām, komandas ar žurnālu, kas darbojas ar sudo, un citu.
Sudo komandas uzvedību kontrolē /etc/ sudoers fails jūsu sistēmā.Šī komanda ir jāreģistrē ar visudo komandu, kas veic sintakses pārbaudi, lai nodrošinātu, ka nejauši neizjaucat failu.
Norādiet lietotājus ar Sudo atļaujām
Lietotāja konts, ko izveidojat, uzstādot Ubuntu, ir atzīmēts kā Administratora konts, kas nozīmē, ka tas var izmantot sudo. Jebkurš papildu lietotāja konts, ko izveidojat pēc instalēšanas, var būt Administrators vai Standarta lietotāja konti. Standarta lietotāju kontiem nav sudo atļaujas.
Jūs varat kontrolēt lietotāja kontu veidus no Ubuntu lietotāju kontu līdzekļa grafiski. Lai to atvērtu, noklikšķiniet uz sava lietotāja nosaukuma panelī un izvēlieties Lietotāju konti vai meklējiet lietotāja kontus domuzīmē.
Padarīt sudo aizmirst savu paroli
Pēc noklusējuma sudo atceras jūsu paroli 15 minūtes pēc tā rakstīšanas. Tieši tāpēc vienreiz ir jāievada sava parole vienreiz, ātri izpildot vairākas komandas ar sudo. Ja jūs gatavojaties ļaut kādam citam izmantot savu datoru un vēlaties, lai sudo palūdz paroli, kad tā tiek palaista tālāk, izpildiet šādu komandu un sudo aizmirsīs paroli:
sudo -k
Vienmēr jautāt paroli
Ja jūsKatru reizi, kad izmantojat sudo, vispirms tiek piedāvāts, piemēram, ja citiem lietotājiem regulāri ir piekļuve jūsu datoram, jūs varat pilnībā atspējot paroles atgādināšanas darbību.
Šis iestatījums, tāpat kā citi sudo iestatījumi, ir ietverts failā /etc/ sudoers. Palaidiet visudo komandu terminālā, lai atvērtu failu rediģēšanai:
sudo visudo
Neskatoties uz tā nosaukumu, šī komanda noklusējusi jauno, lietotājam draudzīgu nano redaktoru, nevis tradicionālo vi redaktoru Ubuntu vietā.
Pievienojiet nākamajā rindiņā zem citām faila noklusējuma rindām:
Pēc noklusējuma timestamp_timeout = 0
Nospiediet Ctrl + O, lai failu saglabātu, un pēc tam nospiediet Ctrl + X, lai aizvērtu Nano. Sudo tagad vienmēr lūgs jums paroli.
Mainiet paroli Timeout
Lai iestatītu citu paroles taimautu - vai nu ilgāku, piemēram, 30 minūtes vai īsāku, piemēram, 5 minūtes, - izpildiet iepriekš minētās darbības, bet izmantojiet citu vērtību timestamp_timeout. Numurs atbilst minūtēm, kurās sudo atcerēsies jūsu paroli. Lai sudo atcerētos jūsu paroli 5 minūtes, pievienojiet šādu rindu:
Noklusētā timestamp_timeout = 5
Nekad Pieprasīt paroli
Varat arī būt, ka sudo nekad neprasītu paroli - ja vien jūs esat pieteicies, katrai komandai jūsprefikss ar sudo darbosies ar root atļaujām. Lai to paveiktu, pievienojiet savu sudoers failu, kur lietotājvārds ir jūsu lietotājvārds:
lietotājvārds ALL =( ALL) NOPASSWD: ALL
Varat arī mainīt% sudo līniju - tas ir, līnija, kas ļauj visiem lietotājiemsudo grupa( pazīstama arī kā Administratora lietotāji), lai izmantotu sudo - lai visi administratora lietotāji nepieprasa paroles:
% sudo ALL =( ALL: ALL) NOPASSWD: VISAS
Palaist īpašas komandas bez paroles
Varat arī norādīt konkrētas komandas, kurasnekad nepieprasīs paroli, kad darbosies ar sudo. Tā vietā, lai izmantotu "ALL" pēc iepriekš NOPASSWD, norādiet komandu atrašanās vietu. Piemēram, šī rindiņa ļaus jūsu lietotāja kontam palaist apt-get un izslēgšanas komandas bez paroles.
lietotājvārds ALL =( ALL) NOPASSWD: /usr/bin/ apt-get, /sbin/ izslēgšana
Tas var būt īpaši noderīgs, ja skriptā tiek izpildītas konkrētas komandas ar sudo.
Atļaut lietotājam palaist tikai īpašas komandas
Kamēr jūs varat iekļaut melnajā sarakstā konkrētas komandas un neļaut lietotājiem tos darbināt ar sudo, tas nav ļoti efektīvs. Piemēram, jūs varat norādīt, ka lietotāja kontam nevar palaist shutdown komandu ar sudo. Bet šis lietotāja konts var palaist komandu cp ar sudo, izveidot komandas shutdown kopiju un izslēgt sistēmu, izmantojot kopiju.
Efektīvāks veids ir norādīt konkrētas komandas baltajā sarakstā.Piemēram, jūs varētu dot Standarta lietotāja kontu atļauju izmantot apt-get un shutdown komandas, bet ne vairāk. Lai to izdarītu, pievienojiet šādu rindu, kur standarta lietotājs ir lietotāja lietotājvārds:
standarta lietotājs ALL = /usr/bin/ apt-get, /sbin/ izslēgšana
Sekojošā komanda mums pastāstīs, kādas komandas lietotājs var palaist ar sudo:
sudo -U standarta lietotāja-l
mežizstrāde Sudo Access
Jūs varat reģistrēt visu sudo piekļuvi, pievienojot šādu rindu. /var/log/ sudo ir tikai piemērs;jūs varat izmantot jebkuru log failu atrašanās vietu, kas jums patīk.
Noklusējuma logfile = /var/log/ sudo
Apskatīt žurnāla faila saturu ar šādu komandu:
sudo cat /var/log/ sudo
Ņemiet vērā, ka, ja lietotājam ir neierobežota piekļuve sudo, šim lietotājam ir iespēja dzēst vai mainītšī faila saturs. Lietotājs var arī piekļūt root palaišanai ar sudo un palaist komandas, kuras netiks reģistrētas. Mežizstrādes funkcija ir visnoderīgākā, ja to apvieno ar lietotāju kontiem, kuriem ir ierobežota piekļuve sistēmas komandu apakškopai.